Postgres扩展之PGAudit:审计

最新推荐文章于 2025-09-20 02:38:34 发布
原创 最新推荐文章于 2025-09-20 02:38:34 发布 · 1.7k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #postgresql #database

简介

PGAudit是一个专为PostgreSQL数据库设计的审计扩展模块,它为用户提供了详细的查询和命令审计功能,有助于满足监管要求并保护敏感信息。这可以帮助您满足法规的审计要求,检测可疑的数据库活动,识别并修复数据库问题。

功能特点

全面审计能力:

  • PGAudit能够记录对数据库的所有读写操作,包括SELECT、INSERT、UPDATE、DELETE等SQL命令,以及DDL(如CREATE TABLE)和系统权限修改等。
  • 它支持行模式和语句模式两种日志输出方式:行模式记录每个受影响的行,语句模式则记录整个SQL语句。

灵活配置:

  • 用户可以根据自己的需求配置审计规则,选择监视特定用户、特定表或特定操作类型。
  • 支持全局审计和角色审计,允许针对特定用户或所有用户的审计配置。

集成与定制:

  • PGAudit集成了PostgreSQL的标准日志机制,可以利用现有的日志处理工具(如logrotate或syslog)来管理和存储审计日志。
  • 日志格式可以定制,以适应不同的日志分析工具。

合规性支持:

  • 对于金融、医疗等受严格法规约束的行业,PGAudit可以帮助满足PCI DSS、HIPAA等合规性要求。
  • 它能够生成符合合规性标准的审计报告。

安全性增强:

  • 通过审计功能,数据库管理员可以检测潜在的安全风险,如未经授权的访问或数据修改。
  • 可以记录和报告异常或可疑的数据库活动。

性能优化:

  • 分析查询历史,找出低效的SQL,有助于提升数据库性能。
  • 尽管PGAudit会生成大量的日志记录,但它使用高效的日志记录机制,可以在不影响数据库性能的情况下记录和监视数据库活动。

工作原理

PGAudit在PostgreSQL内核级别插入审计钩子。当执行查询或命令时,这些钩子捕获并记录相关信息,如事件类型、用户名、时间戳、SQL语句等,并将这些信息写入审计日志文件中。

以下是一个简单的教程,指导你如何配置 PGAudit 并在 PostgreSQL 中使用它。

准备工作

登录MemFire Cloud平台,创建一个新应用,如下图所示:

应用创建成功后,即可获得一个云端的Postgres数据库。

启用PGAudit扩展

  1. 转到仪表板中的数据库页面。

  2. 点击侧边栏中的扩展

  3. 搜索pgaudit并启用该扩展。

以下是如何启用和禁用 pgaudit扩展的 SQL 代码:

-- Enable the "pgaudit" ext
最低0.47元/天 解锁文章
pgAudit - 开源PostgreSQL审计日志
08-08 2842
翻译自官方文档:传送门 能力有限,如有错误请指正 介绍 PostgreSQL审计扩展(pgAudit)通过标准的PostgreSQL日志记录工具提供详细的会话和(或)对象审计日志记录。 pgAudit的目标是为PostgreSQL用户提供生成审计日志的能力,这些日志通常需要符合政府、金融或IS...
如何在PostgreSQL中进行数据库审计,记录用户对数据库的操作行为?
发现生活,分享智慧,一起成长!
04-24 1665
通过使用pgAudit扩展PostgreSQL的内置日志记录功能,您可以有效地在PostgreSQL中进行数据库审计,并记录用户对数据库的操作行为。根据您的具体需求和安全策略,选择适合的解决方案并进行配置。这些解决方案将帮助您更好地理解和监控数据库的使用情况,确保数据的安全性和完整性。相关阅读推荐PostgreSQL入门到精通.PDF 领取Postgres专栏推荐如何在PostgreSQL中备份和恢复整个数据库,包括相关的用户和权限设置。
17、PostgreSQL 安全审计日志分析全攻略
jwt8token的博客
07-14 112
本文详细介绍了 PostgreSQL 数据库的安全审计日志分析方法,涵盖 pgaudit 审计配置、慢查询日志设置、auto_explain 执行计划记录、锁与等待信息监控、自动清理日志pgBadger 报告生成、pg_stat_statements 查询分析以及内核级统计信息获取等内容。通过这些功能,管理员和开发人员可以更好地监控和优化 PostgreSQL 数据库的性能与安全性。
PostgreSQL扩展(extensions)-常用的扩展pgAudit
文牧之的博客
04-28 1372
pgAudit是一个 PostgreSQL扩展,它提供了一种方式来生成详尽的审计日志。这对于需要遵守特定监管要求的企业来说是非常重要的,比如那些必须符合 HIPAA、SOX、PCI DSS 等标准的企业。通过pgAudit这些详细的审计日志能够帮助组织追踪数据变更的来源,验证和确保数据访问和操作行为的合规性。
CompreFace数据库审计配置工具:pgAudit安装与配置
最新发布
gitblog_00118的博客
09-20 248
在当今数据驱动的世界,数据库安全至关重要。尤其是对于CompreFace这样的人脸识别系统,其数据库中存储的人脸特征数据和用户信息具有极高的敏感性。数据库审计Database Audit)是一种监控和记录数据库活动的机制,它可以帮助管理员: - 追踪谁访问了数据库 - 监控敏感数据的读写操作 - 检测异常行为和潜在的安全威胁 - 满足合规性要求(如GDPR、HIPAA等) PostgreSQ...
Postgresql审计插件pgaudit使用说明
魂醉的一亩二分地
03-28 3342
最近由于审计,rds的审计成了问题,因为很多权限没开放出来,但是很多云厂商提供了pgaudit插件,这里简单介绍下吧,虽然没有达到想要的预期。 pgauditpostgresql版本兼容性匹配列表: pgAudit v1.6.X is intended to support PostgreSQL 14. pgAudit v1.5.X is intended to support PostgreSQL 13. pgAudit v1.4.X is intended to support PostgreSQL
PostgreSQL插件
喝醉酒的小白
05-09 8803
以上是一些常用的PostgreSQL插件,它们可以帮助开发者扩展PostgreSQL的功能,提高数据库的性能和灵活性。pgAudit是一个用于审计PostgreSQL数据库的插件,可以记录每个SQL语句的执行情况,包括执行时间、执行用户、执行结果等信息。是一个 PostgreSQL pgaudit 插件的设置命令,它的作用是启用 pgaudit 插件并将所有数据库操作记录到日志中。以上就是pgAudit插件的使用方法,通过使用pgAudit插件,可以方便地对PostgreSQL数据库进行审计和监控。
Windows server 安装和配置PostgreSQL 14
魑魅魍魉
08-03 2213
Windows server 安装和配置PostgreSQL 14步骤以及遇到的坑
pgAuditPostgreSQL审计日志的开源解决方案
gitblog_00937的博客
10-10 1032
**pgAudit** 是一个开源的PostgreSQL审计日志扩展,旨在通过标准PostgreSQL日志设施提供详细的会话和/或对象审计日志。该项目的主要目标是帮助PostgreSQL用户生成符合政府、金融或ISO认证要求的审计日志审计日志(Audit Log)是审计追踪或审计轨迹的正式名称,pgAudit通过详细的日志记录,帮助用户满足这些严格的要求。 ## 项目技术分析 pgAudit...
PostgreSQL源码分析——审计插件pgaudit
内核思考
06-18 1023
首先是要获取审计日志信息,需要先通过配置设置审计哪些内容,比如审计DDL语句,还是DML语句,或者都进行审计。具体实现上就是在语句执行的过程中通过钩子函数捕获相应的信息,实现上要在不同的位置设置不同的钩子函数,比如DDL语句,则可在。,但是其功能并不完善,只提供了基本的审计功能,对此,很多基于PG开发的商业数据库大多提供了丰富的审计功能。记录了审计信息后,需要将其进行输出,在商业数据库中,可以存储在表中或者文件中,通过表等进行查看,在pgaudit插件中,近输出到日志文件中。、捕获DDL语句,添加。
Postgresql审计pgaudit安装使用
高矮
09-30 1804
Postgresql:10 pgaudit:v1.2 文章目录编译安装参数配置说明pgaudit.log:pgaudit.log_client:pgaudit.log_level:pgaudit.log_parameter:pgaudit.role:参考 编译安装 1、clone插件 git clone https://github.com/pgaudit/pgaudit.git 2、Change to pgAudit directory: cd pgaudit 3、Checkout postgre.
pgaudit插件-pgslq
qq_43826626的博客
11-11 960
postgresql可以通过log_statement=all 提供日志审计,但是无法详细的提供日志信息,使用ogaudit能够提供详细的会话和对象审计日志,是PG的一个扩展插件注意:pgAudit可能会生成大量日志。请谨慎确定要在您的环境中记录哪些审核内容,以避免过多记录,可以根据需要开启审计,关闭审计设置pgaudit.log=’none’,并重新加载即可。使用持续时间分为两种方式,一种的只应用于当前会话,一种是持久化应用到角色上,使用方式又分为会话审计日志记录和对象审核日志两种区别就是。
探索 PostgreSQL审计利器:pgAudit
gitblog_00041的博客
04-09 832
数据库管理中,数据安全和合规性是至关重要的。对于 PostgreSQL 用户来说,pgAudit 是一个必不可少的工具,它提供了详细的查询和命令审计功能,帮助你满足监管要求并保护敏感信息。 ## 项目简介 pgAudit 是一款开源插件,为 PostgreSQL 提供了全面的日志记录能力。它记录了对数据库的所有读写操作,包括 SELECT、INSERT、UPDATE、DELETE 等 SQL...
pgaudit 审计postgresql
一名数据库爱好者的专栏
12-19 5299
os: ubuntu 16.04 db: postgresql 9.6.8 pgaudit: 1.1.1 pgaudit 是作为 postgresql 的一个 extension 形式存在的,通过标准postgresql日志工具提供详细的会话和/或对象审计日志记录。 pgaudit 的目标是为postgresql生成审计日志。 版本 # lsb_release -a No LSB modules ...
pgaudit安装与使用
归来仍少年
12-12 2696
pgaudit安装 ##pgaudit的tar安装包 https://github.com/pgaudit/pgaudit/releases ##适合postgresql 11版本 https://github.com/pgaudit/pgaudit/archive/refs/tags/1.3.3.tar.gz 安装 1.git clone下载 git clone https://github.com/pgaudit/pgaudit.git 2.将pgaudit移动到postgresql安装路径中contr
PGAudit审计插件
gsforget321的博客
10-16 1125
PostgreSQL中,提供了开源的审计插件pgaudit,但是其功能并不完善,只提供了基本的审计功能,总体上审计插件的设计思路有点类似于日志库的设计。当然,这里审计规则可以设置的非常灵活,商业数据库审计功能会更加的完善。指定用于审计日志级别(DEBUG1 .. DEBUG5,INFO,NOTICE,WARNING,ERROR,LOG,FATAL,PANIC),但注意不允许ERROR、FATAL和PANIC,注意,pgaudit.log_level只在pgaudit.log_client打开时启用;
pgaudit安装使用《postgresql
不积跬步,无以至千里;不积小流,无以成江海。
08-02 429
shared_preload_libraries参数修改一定要重启服务,热加载是不可以的。可以下载后编译安装,也可以直接yum安装
pgaudit 安装实践
Captains-Felix的专栏
11-05 2188
下载 https://github.com/pgaudit/pgaudit/blob/REL9_6_STABLE/README.md 背景前提: postgresql 安装包 目录为 : /home/zhaowzh/pg966   1、解压pgaudit包 unzip pgaudit-REL9_6_STABLE.zip 2、mkdir -p /home/zhaowzh/pg966/...
pgAudit安装遇到的坑
qq_34714193的博客
01-03 807
官方教程 PostgreSQL版本兼容性 pgAudit版本与PostgreSQL主要版本相关,如下所示: pgAudit v1.4.X旨在支持PostgreSQL 12。 pgAudit v1.3.X旨在支持PostgreSQL 11。 pgAudit v1.2.X旨在支持PostgreSQL 10。 pgAudit v1.1.X旨在支持PostgreSQL 9.6。 pgAudit v1.0....
linux操作系统怎么开启postgres数据库审计功能
07-11
<think>我们正在讨论如何在Linux操作系统上为PostgreSQL数据库开启审计功能。根据用户的问题,我们需要提供详细的步骤指南。 参考引用中并没有直接关于PostgreSQL审计的内容,但我们可以根据PostgreSQL的官方文档和常见实践来回答。 在PostgreSQL中,审计功能可以通过多种方式实现,包括使用内置的日志记录功能或使用扩展(如pgAudit)。这里我们将介绍两种常见方法。 方法一:使用PostgreSQL的内置日志记录 1. 修改配置文件:通常为postgresql.conf(位于数据库的数据目录或/etc/postgresql/<版本>/main/) 2. 设置日志相关参数,例如: logging_collector = on # 开启日志收集器 log_directory = 'pg_log' # 日志目录 log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log' # 日志文件名格式 log_statement = 'all' # 记录所有语句,也可以设置为ddl, mod, none等 # 其他可选设置:log_connections, log_disconnections等 3. 重启PostgreSQL服务使配置生效。 方法二:使用pgAudit扩展(更专业的审计工具) 1. 安装pgAudit:根据操作系统,可能通过包管理器安装(如apt-get install postgresql-<版本>-pgaudit)或从源码编译。 2. 在postgresql.conf中加载扩展: shared_preload_libraries = 'pgaudit' # 注意:修改此参数需要重启 3. 重启PostgreSQL服务。 4. 在需要审计数据库中创建扩展: CREATE EXTENSION pgaudit; 5. 配置pgAudit参数,例如在postgresql.conf中设置: pgaudit.log = 'all, -misc' # 记录所有除了MISC类(set等)的语句 pgaudit.log_catalog = off # 当语句中不包含关系时,是否记录 pgaudit.log_parameter = on # 记录语句参数 pgaudit.log_relation = on # 记录语句访问的关系(表、视图等) # 还可以按角色、按数据库进行设置 注意:使用pgAudit可以提供更细粒度的审计控制。 由于用户环境可能不同,具体步骤可能略有差异。建议用户根据实际环境调整。 相关问题: 1. 如何查看和分析PostgreSQL审计日志? 2. 如何配置pgAudit以实现符合特定合规性要求(如PCI-DSS)的审计? 3. PostgreSQL审计功能对性能有什么影响?如何优化?</think>### 如何在 Linux 上启用 PostgreSQL 审计日志 #### 方法一:使用内置日志记录(基础审计) 1. **修改配置文件** 打开 `postgresql.conf`(通常位于 `/etc/postgresql/<版本>/main/` 或数据目录): ```ini logging_collector = on # 启用日志收集器 log_directory = 'pg_log' # 日志存储目录 log_filename = 'postgresql-%Y-%m-%d.log' # 日志文件名格式 log_statement = 'all' # 记录所有SQL语句(可选:ddl/mod/none) log_connections = on # 记录连接尝试 log_disconnections = on # 记录断开连接 ``` > 注:`log_statement` 级别说明: > - `none`:不记录 > - `ddl`:仅记录数据定义语句(如 CREATE/ALTER) > - `mod`:记录DDL+数据修改语句(INSERT/UPDATE/DELETE) > - `all`:记录所有语句 2. **重启 PostgreSQL 服务** ```bash sudo systemctl restart postgresql ``` 3. **验证日志** 日志将生成在 `<数据目录>/pg_log/` 下,可通过 `tail -f` 实时监控。 #### 方法二:使用 pgAudit 扩展(高级审计) 1. **安装 pgAudit** ```bash # Ubuntu/Debian sudo apt-get install postgresql-<版本>-pgaudit # CentOS/RHEL sudo yum install pgaudit ``` 2. **修改配置文件** 在 `postgresql.conf` 中添加: ```ini shared_preload_libraries = 'pgaudit' # 加载扩展 pgaudit.log = 'all' # 记录所有操作(可选:READ/WRITE/ROLE等) pgaudit.log_catalog = off # 禁止记录系统表查询 pgaudit.log_parameter = on # 记录SQL参数 ``` 3. **重启服务并启用扩展** ```bash sudo systemctl restart postgresql psql -U postgres -c "CREATE EXTENSION pgaudit;" ``` 4. **按需配置细粒度审计** ```sql -- 示例:仅审计特定表的DELETE操作 ALTER TABLE sensitive_data SET (pgaudit.log = 'delete'); ``` #### 关键配置说明 | 参数 | 作用 | 推荐值 | |-----------------------|----------------------------------|-----------------| | `logging_collector` | 启用日志收集器 | `on` | | `pgaudit.log` | 指定审计操作类型 | 按合规需求设置 | | `log_rotation_size` | 单个日志文件最大大小(MB) | `100` | | `log_truncate_on_rotation` | 日志轮替时覆盖旧文件 | `on` | > **安全建议**: > - 将日志目录权限设置为 `0700`,仅允许 `postgres` 用户访问 > - 使用 `logrotate` 定期压缩和归档日志 > - 敏感操作(如权限变更)建议结合 pgAudit 的 `ROLE` 类别记录[^4] #### 验证审计日志 ```bash # 查找pgAudit记录 grep "AUDIT" /var/lib/postgresql/data/pg_log/postgresql-*.log # 示例输出 AUDIT: SESSION,1,1,DDL,CREATE TABLE,,,CREATE TABLE audit_test(id int),<none> ``` --- ### 相关问题 1. **如何将 PostgreSQL 审计日志实时转发到 SIEM 系统(如 ELK)?** 2. **pgAudit 与内置日志在性能开销上有何差异?如何优化?** 3. **如何配置 PostgreSQL 审计以满足 GDPR 或 HIPAA 合规要求?** 4. **审计日志中应监控哪些关键安全事件?** [^1]: 日志的统一管理在多账号环境中尤为重要,可通过集中存储实现审计分析 [^4]: 细粒度审计策略需结合业务场景设计,参考 AWS Parameter Store 的密钥分类思想
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值